Argomento certamente spinoso e dibattuto in ambito privacy è rappresentato dalle previsioni della responsabilità civile con riferimento alle attività e obblighi dei soggetti che, a vario titolo, trattino i dati personali.
Una delle difficoltà interpretative, e in qualche modo applicative, attiene probabilmente all’abrogazione del Titolo III, parte I del codice privacy, ove era collocato l’art. 15, il quale, con estrema chiarezza, individuando la pericolosità dell’attività di trattamento dei dati, così recitava “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”.
Attesa tale recente abrogazione – con l’introduzione del D. Lgs 101/2018 – nella formulazione dell’attuale vigente D. Lgs 30 giugno 2003, n. 196, appare necessario cercare di fare chiarezza sulle fattispecie di responsabilità civilistica, ricavandone le fonti normative.
Cosa dice il GDPR in materia di responsabilità civile
Il Regolamento Europeo 2016/679 tratta in più parti lo spinoso tema in questione, partendo dall’art. 82 che prevede espressamente che “chiunque subisca un danno materiale o immateriale causato da una violazione (del regolamento) ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Viene così introdotta la previsione e disciplina della risarcibilità dei danni materiali e immateriali (danni patrimoniali e morali) in relazione alla violazione degli obblighi previsti dal GDPR (utilizzando l’acronimo di lingua anglosassone che identifica l’accennato Regolamento).
Prima ancora di addentrarci nell’individuazione dei soggetti obbligati al risarcimento dei danni per la violazione della privacy, appare necessario cercare di individuare la natura stessa del danno previsto, tenendo in considerazione il venir meno del riferimento codicistico (art. 2050 c.c.) previsto dalla previgente formulazione del codice Privacy; appare opportuno pertanto inquadrare il testo del Considerando 146, laddove viene estrinsecato come “il concetto di danno dovrebbe essere interpretato in senso lato alla luce della Giurisprudenza della Corte di Giustizia in modo tale da rispecchiare pienamente gli obiettivi del Regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati Membri”.
Ancora, il Considerando 85 argomenta come “una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche”.
In considerazione del fatto che la protezione delle persone fisiche, con riguardo al trattamento dei dati di carattere personale è inteso quale diritto fondamentale previsto dall’art. 8 della Carta dei Diritti Fondamentali dell’unione Europea, nonché dall’art. 16 del Trattato sul Funzionamento dell’unione Europea, il Regolamento ha sentito la necessità con il Considerando 75 di individuare una casistica esplicativa (non ovviamente esaustiva) di trattamenti rischiosi, dai quali possano derivare danni fisici, materiali o immateriali, quali le discriminazioni, furto o usurpazione di identità, perdite finanziarie, perdita della riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, impedimento dell’esercizio di controllo sui dati personali.
Il duplice ruolo degli interessati
Fondamentale appare considerare la natura della responsabilità civile di cui stiamo disquisendo, ponendo evidenza sul fatto che sussiste un duplice piano identificativo dei soggetti verso i quali sussiste la responsabilità: principalmente il Regolamento ha individuato gli interessati quali soggetti da tutelare e nei confronti dei quali possano sorgere danni da risarcire, ma a termini codicistici sussiste anche la responsabilità per quanto riguarda i reciproci rapporti tra i soggetti deputati al trattamento dei dati.
La conseguenza di ciò si traduce con la previsione della possibile sussistenza di responsabilità contrattuale ovvero extracontrattuale, con le connesse ripercussioni in termini di decadenze ed elementi probatori rispetto alle istanze risarcitorie.
Il Regolamento ha ritenuto necessario identificare con l’art. 82 il Titolare e il Responsabile, quali soggetti obbligati al risarcimento per danni derivanti dalla violazione delle norme sul trattamento dei dati personali, individuando ambiti di responsabilità differenti, in ragione dei rispettivi ruoli.
Si legge infatti che il Titolare sia responsabile per i danni cagionati “dal suo trattamento” che violi il Regolamento, in buona sostanza ricomprendendo tutte le attività di gestione e controllo, anche dal punto di vista organizzativo, in capo al titolare medesimo.
Per quanto riguarda il Responsabile, il Regolamento ha individuato invece due ipotesi nelle quali vi sia il riconoscimento di responsabilità civile, prevedendo espressamente che egli risponde:
- se non ha adempiuto agli obblighi del Regolamento specificamente diretti al ruolo di responsabile;
- se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Va detto peraltro che, in ragione della difficoltà di individuazione dei ruoli e istruzioni che il Responsabile possa aver ricevuto dal Titolare per il trattamento dei dati, la possibilità di azione diretta da parte degli interessati nei confronti del Responsabile si ritiene possa essere limitata, prevedendo per tale ragione la prevalente possibilità di instaurazione di istanze risarcitorie da parte dei danneggiati nei confronti del soggetto Titolare, i cui obblighi sono ampiamente delineati dal Regolamento.
Orbene, in assenza di vincoli contrattuali tra gli interessati e il Titolare, il regime risarcitorio previsto non potrà che essere quello extracontrattuale di cui all’art. 2043 c.c., con le prerogative e previsioni codicistiche.
L’art 82 GDPR prevede però al terzo paragrafo l’inversione dell’onere della prova, laddove ha stabilito che “il Titolare o il Responsabile del trattamento è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Il Regolamento fa rientrare in buona sostanza le previsioni di natura probatoria di cui al regime contrattuale ex art. 1218 c.c. anche in assenza di rapporto contrattuale, onerando quindi il Titolare (o il Responsabile) del trattamento di fornire la prova della non imputabilità; in questo senso prende forma il principio di Accountability, che permea l’intero impianto regolamentare e che rappresenta una innovazione legislativa per il nostro continente.
In buona sostanza, tale principio generale assegna al titolare del trattamento l’obbligo di adottare tutte le misure adeguate ed efficaci affinché vengano rispettati i dettami di tutela dei dati, e inoltre prevede che egli sia in grado di dimostrare la conformità delle attività di trattamento con il regolamento medesimo.
Il principio di responsabilizzazione nella responsabilità civile
Ed ecco allora che, chiarendo meglio i risvolti probatori di cui all’accennato principio denominato nel nostro Paese quale responsabilizzazione, il paragrafo 3 del cennato art. 82 GDPR prende forma proprio nella facoltà da parte del Titolare di fornire la prova della diligenza e correttezza nelle molteplici attività atte al corretto trattamento dei dati, compresa l’adozione delle adeguate misure di sicurezza.
Come ormai appare chiaro, ciò che viene chiesto al Titolare (ed invero anche al Responsabile) in termini di corretto trattamento dei Dati, non è la mera messa in atto di formalismi e tecnicismi documentali, ma vieppiù una attenta presa di coscienza e consapevolezza delle attività che devono essere effettuate tailor made in ragione delle necessità della propria organizzazione, ponendo in essere quegli strumenti individuati dal Regolamento, a partire dalla pianificazione By Design e saper fornire la necessaria prova in termini di eventuale non imputabilità dinanzi ad istanze risarcitorie.
Argomento focale, e fonte di contrastanti interpretazioni dottrinali, attiene certamente all’individuazione dell’onus probandi del danno da parte dei soggetti presunti danneggiati, unitamente al nesso eziologico tra tale danno e le asserite violazioni.
Il Regolamento prevede espressamente la risarcibilità dei danni materiali e immateriali (individuabili questi ultimi con quelli che nel nostro ordinamento sono denominati non patrimoniali) e a tal riguardo appare evidente che, dal punto di vista privacy, il soggetto presunto danneggiato ha l’onere di fornire la prova del pregiudizio economico determinato in ragione della violazione del trattamento dei dati, identificato nel lucro cessante e nel danno emergente.
Più complessa appare l’individuazione del danno non patrimoniale, in ragione del fatto che, per essere risarcibile, il danno deve rientrare nelle previsioni del “danno conseguenza”.
Come ormai ampiamente delineato dalla Giurisprudenza di Legittimità del nostro Paese, il danno non patrimoniale nella sua natura “rimediale”, non può essere considerato danno “evento” ma danno “conseguenza” e dunque necessita di prova circa la sua esistenza ex art. 2967 c.c., prova indubbiamente ricadente su parte richiedente.
La Suprema Corte ha in punto chiarito in modo costante che “la sussistenza del danno non patrimoniale non può mai essere ritenuta in re ipsa, ma va sempre debitamente allegata e provata da chi lo invoca, anche attraverso presunzioni semplici”.
Ci si domanda spesso quale sia nel concreto il danno di natura non patrimoniale risarcibile dal punto di vista privacy e come si possa concretizzare l’unicità delle voci di danno, minutamente interpretate dalla Corte di Cassazione con le note Sentenze di San Martino del 2008.
La strada è segnata e, sebbene molto ancora dovrà essere percorso al fine di individuare attentamente le fattispecie di danno risarcibile ai sensi del Regolamento, non v’è dubbio che la sofferenza avvertita dai danneggiati in ragione della perdita di controllo dei propri dati personali rappresenti l’essenza stessa del diritto alla protezione dei dati personali, coniugata nel diritto di essere informati circa la raccolta dei propri dati e nei conseguenti diritti/rimedi introdotti nelle sezioni terza e quarta del capo terzo (artt.16-22).